Анализ методов сетевых атак и отмывания денег северокорейской хакерской группы Lazarus Group
Одно из секретных отчетов ООН раскрывает, что в прошлом году одна группа хакеров похитила средства из криптовалютной биржи, а в марте этого года отмыла 147.5 миллионов долларов через одну из виртуальных валют.
Следователи сообщили Совету Безопасности ООН, что они расследуют 97 случаев кибератак на криптовалютные компании, произошедших с 2017 по 2024 год, на общую сумму около 3,6 миллиарда долларов. Среди них - кража в 147,5 миллиона долларов, произошедшая в конце прошлого года на одной из криптовалютных бирж, средства от которой были отмыты в марте этого года.
В 2022 году США ввели санкции против одной платформы по смешиванию криптовалют. В следующем году два соучредителя этой платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, часть средств была связана с одной киберпреступной организацией.
Согласно исследованию одного из аналитиков криптовалют, эта группа хакеров отмыла 200 миллионов долларов в криптовалюте в фиатные деньги в период с августа 2020 года по октябрь 2023 года.
Эта хакерская группа на протяжении долгого времени обвиняется в проведении массовых кибератак и финансовых преступлений. Их цели расположены по всему миру и включают банковские системы, криптовалютные биржи, государственные учреждения и частные компании. Ниже мы проанализируем несколько типичных случаев, чтобы раскрыть, как эта группа осуществляет эти атаки с помощью сложных стратегий и технических средств.
Социальная инженерия и фишинговые атаки
Согласно сообщениям, эта группа хакеров нацеливалась на военно-промышленные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали ложные объявления о найме на социальных платформах, чтобы обманом заставить сотрудников скачать PDF-файлы с вредоносными исполняемыми файлами, тем самым осуществляя фишинг-атаки.
Этот метод пытается с помощью психологического манипулирования заставить жертву расслабиться и выполнить операции, угрожающие безопасности, такие как нажатие на ссылки или скачивание файлов. Их вредоносное ПО может использовать уязвимости в системе жертвы для кражи конфиденциальной информации.
В ходе шестимесячной атаки на одного поставщика платежей в криптовалюте, Хакерская группа использовала аналогичные методы, что привело к убыткам компании в 37 миллионов долларов. В течение всего процесса они отправляли инженерам фальшивые предложения о работе, инициировали атакующие распределённые отказ в обслуживании и пытались взломать пароли методом грубой силы.
Многочисленные атаки на криптовалютные биржи
24 августа 2020 года кошелек одной канадской криптовалютной биржи был взломан.
11 сентября 2020 года, из-за утечки приватного ключа, в одном проекте произошло несанкционированное перечисление 400 000 долларов из нескольких кошельков, контролируемых командой.
6 октября 2020 года, одна из торговых платформ из-за уязвимости безопасности незаконно перевела 750 000 долларов США криптоактивов из горячего кошелька.
В начале 2021 года средства от этих атак были собраны на одном адресе. Затем злоумышленники несколько раз вносили и выводили эфир через одну из платформ для смешивания валют, и после нескольких переводов и обменов в конечном итоге отправили средства на определенный адрес для вывода.
Основатель одной из платформ взаимопомощи подвергся атаке Хакера
14 декабря 2020 года основатель одной из платформ взаимопомощи стал жертвой Хакера, потеряв 370000 токенов платформы, стоимость которых составляет около 8300000 долларов США.
Хакер через несколько адресов переводит и обменивает украденные средства. Часть средств через кросс-цепь отправляется в сеть Биткойн, затем обратно в сеть Эфириум, после чего обрабатывается на платформе смешивания, и, наконец, отправляется на платформу для вывода.
С 16 по 20 декабря 2020 года один из адресов Хакера отправил более 2500 эфиров на одну из платформ для смешивания. Через несколько часов другой связанный адрес начал операции по выводу средств.
С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на адрес депозита одной из торговых платформ.
С февраля по июнь 2023 года злоумышленники через определённый адрес отправили более 11 миллионов USDT партиями на различные платформы для вывода.
Анализ последних атак
В августе 2023 года украденный эфир в результате двух хакерских атак был переведен на одну из платформ для смешивания. Затем средства были выведены на несколько адресов и в конечном итоге сосредоточены на одном основном адресе.
В ноябре 2023 года этот основной адрес начал переводить средства, через транзит и обмен, в конечном итоге отправляя средства на определенную платформу для вывода.
Резюме
Модель отмывания денег этой хакерской группы в основном фиксирована: после кражи криптоактивов средства смешиваются через кросс-цепочные операции и платформы для смешивания монет. После смешивания украденные активы выводятся на целевой адрес и отправляются на фиксированные адреса для вывода. Украденные криптоактивы в основном хранятся на определенных платформах для вывода, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.
В условиях таких продолжительных и масштабных атак индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие организации продолжают следить за действиями этого Хакера, проводя глубокий анализ его моделей поведения, чтобы помочь проектам, регулирующим органам и правоохранительным органам в борьбе с такими преступлениями и возврате украденных активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
4
Поделиться
комментарий
0/400
BearMarketSage
· 15ч назад
Тс-тс, снова украли столько.
Посмотреть ОригиналОтветить0
rugpull_ptsd
· 15ч назад
Кражи токенов тоже улучшились, методы действительно 6
Посмотреть ОригиналОтветить0
MetaDreamer
· 15ч назад
Хакер еще может уйти.
Посмотреть ОригиналОтветить0
ProveMyZK
· 15ч назад
Северная Корея так жестока, не зря это первая страна по внутреннему соперничеству.
Группа хакеров Lazarus отмыла 147,5 миллиона долларов в марте, за 5 лет было 97 атак на сумму 3,6 миллиарда.
Анализ методов сетевых атак и отмывания денег северокорейской хакерской группы Lazarus Group
Одно из секретных отчетов ООН раскрывает, что в прошлом году одна группа хакеров похитила средства из криптовалютной биржи, а в марте этого года отмыла 147.5 миллионов долларов через одну из виртуальных валют.
Следователи сообщили Совету Безопасности ООН, что они расследуют 97 случаев кибератак на криптовалютные компании, произошедших с 2017 по 2024 год, на общую сумму около 3,6 миллиарда долларов. Среди них - кража в 147,5 миллиона долларов, произошедшая в конце прошлого года на одной из криптовалютных бирж, средства от которой были отмыты в марте этого года.
В 2022 году США ввели санкции против одной платформы по смешиванию криптовалют. В следующем году два соучредителя этой платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, часть средств была связана с одной киберпреступной организацией.
Согласно исследованию одного из аналитиков криптовалют, эта группа хакеров отмыла 200 миллионов долларов в криптовалюте в фиатные деньги в период с августа 2020 года по октябрь 2023 года.
Эта хакерская группа на протяжении долгого времени обвиняется в проведении массовых кибератак и финансовых преступлений. Их цели расположены по всему миру и включают банковские системы, криптовалютные биржи, государственные учреждения и частные компании. Ниже мы проанализируем несколько типичных случаев, чтобы раскрыть, как эта группа осуществляет эти атаки с помощью сложных стратегий и технических средств.
Социальная инженерия и фишинговые атаки
Согласно сообщениям, эта группа хакеров нацеливалась на военно-промышленные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали ложные объявления о найме на социальных платформах, чтобы обманом заставить сотрудников скачать PDF-файлы с вредоносными исполняемыми файлами, тем самым осуществляя фишинг-атаки.
Этот метод пытается с помощью психологического манипулирования заставить жертву расслабиться и выполнить операции, угрожающие безопасности, такие как нажатие на ссылки или скачивание файлов. Их вредоносное ПО может использовать уязвимости в системе жертвы для кражи конфиденциальной информации.
В ходе шестимесячной атаки на одного поставщика платежей в криптовалюте, Хакерская группа использовала аналогичные методы, что привело к убыткам компании в 37 миллионов долларов. В течение всего процесса они отправляли инженерам фальшивые предложения о работе, инициировали атакующие распределённые отказ в обслуживании и пытались взломать пароли методом грубой силы.
Многочисленные атаки на криптовалютные биржи
24 августа 2020 года кошелек одной канадской криптовалютной биржи был взломан.
11 сентября 2020 года, из-за утечки приватного ключа, в одном проекте произошло несанкционированное перечисление 400 000 долларов из нескольких кошельков, контролируемых командой.
6 октября 2020 года, одна из торговых платформ из-за уязвимости безопасности незаконно перевела 750 000 долларов США криптоактивов из горячего кошелька.
В начале 2021 года средства от этих атак были собраны на одном адресе. Затем злоумышленники несколько раз вносили и выводили эфир через одну из платформ для смешивания валют, и после нескольких переводов и обменов в конечном итоге отправили средства на определенный адрес для вывода.
Основатель одной из платформ взаимопомощи подвергся атаке Хакера
14 декабря 2020 года основатель одной из платформ взаимопомощи стал жертвой Хакера, потеряв 370000 токенов платформы, стоимость которых составляет около 8300000 долларов США.
Хакер через несколько адресов переводит и обменивает украденные средства. Часть средств через кросс-цепь отправляется в сеть Биткойн, затем обратно в сеть Эфириум, после чего обрабатывается на платформе смешивания, и, наконец, отправляется на платформу для вывода.
С 16 по 20 декабря 2020 года один из адресов Хакера отправил более 2500 эфиров на одну из платформ для смешивания. Через несколько часов другой связанный адрес начал операции по выводу средств.
С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на адрес депозита одной из торговых платформ.
С февраля по июнь 2023 года злоумышленники через определённый адрес отправили более 11 миллионов USDT партиями на различные платформы для вывода.
Анализ последних атак
В августе 2023 года украденный эфир в результате двух хакерских атак был переведен на одну из платформ для смешивания. Затем средства были выведены на несколько адресов и в конечном итоге сосредоточены на одном основном адресе.
В ноябре 2023 года этот основной адрес начал переводить средства, через транзит и обмен, в конечном итоге отправляя средства на определенную платформу для вывода.
Резюме
Модель отмывания денег этой хакерской группы в основном фиксирована: после кражи криптоактивов средства смешиваются через кросс-цепочные операции и платформы для смешивания монет. После смешивания украденные активы выводятся на целевой адрес и отправляются на фиксированные адреса для вывода. Украденные криптоактивы в основном хранятся на определенных платформах для вывода, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.
В условиях таких продолжительных и масштабных атак индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие организации продолжают следить за действиями этого Хакера, проводя глубокий анализ его моделей поведения, чтобы помочь проектам, регулирующим органам и правоохранительным органам в борьбе с такими преступлениями и возврате украденных активов.